Windows 应急响应
常见事件ID
- 1102 清理审计日志
- 4624 账号登陆成功
- 4625 账号登陆失败
- 4672 授予特殊权限
- 4720 创建用户
- 4726 删除用户
- 4728 将成员添加到启用安全的全局组中
- 4729 将成员从安全组移除
- 4732 将成员添加到启用安全的本地组中
- 4733 将成员从启用安全的本地组移除
- 4756 将成员添加到启用安全的通用组中
- 4757 将成员从启用安全的通用组中移除
- 4719 系统审计策略修改
常见登陆类型
- 2 交互式登陆(用户从控制台登陆)
- 3 网络 (比如通过net use,访问共享网络、共享文件夹)
- 4 批处理 (计划任务)
- 5 服务启动 (服务启动时,win会先创建一个新的登陆会话)
- 6 不支持
- 7 解锁 (锁屏解锁)
- 8 网络明文 (IIS服务器登陆验证)
- 9 新凭证 (使用带
/netonly参数的runas命令允许程序时) - 10 远程交互 (终端服务、远程桌面、远程辅助)
- 11 缓存域证书登陆
命令
netstat -ano | more
tasklist | findstr "xxx"
systeminfo
net user
net user admin
